Nell’ultimo mese l’Italia è stata teatro di una serie di inchieste ed arresti che gettano una luce preoccupante sulla gestione della sicurezza dei dati e delle reti di aziende e soprattutto pubbliche amministrazioni. Può essere utile fare qualche considerazione, sulla base di quanto finora noto pubblicamente, relativamente ai rischi legati a questo tipo di minacce, a cosa si possa o non si possa fare tecnicamente per gestirli, e a cosa possa non aver funzionato.
Indice degli argomenti
Caso Dossieraggi, i protagonisti
Abbiamo innanzitutto situazioni e attività diverse, che è bene chiarire. Da una parte abbiamo la vicenda di Carmelo Miano, l’hacker che avrebbe avuto accesso almeno ai sistemi del Ministero della Giustizia, comprese, da quanto risulta, le credenziali di diversi magistrati. Abbiamo poi Vincenzo Coviello, il dipendente di Intesa Sanpaolo che avrebbe acceduto alle informazioni dei clienti “Vip”, quindi un accesso dall’interno che rappresenta, come vedremo, un problema radicalmente diverso. Infine l’ultima vicenda, più ampia e complessa, del gruppo legato a Samuele Calamucci e all’azienda Equalize.
Compromissioni impressionanti
Questo ultimo gruppo, da quanto reso pubblico, ha svolto azioni sia dall’esterno, con una conoscenza però interna di molti sistemi, sia dall’interno, in particolare anche attraverso la gestione di manutenzione di sistemi critici.
Il gruppo ha anche svolto attività di tipo diverso e più “normali” nel loro genere, come cercare di installare malware su dispositivi e in generale occuparsi di raccolta di informazioni per la creazione di dossier su persone più o meno esposte.
Ma la cosa più impressionante è l’ampiezza della compromissione di banche dati, la quantità di dati raccolti e, ancora di più, il fatto che queste informazioni fossero su un “mercato” al quale avevano accesso almeno imprenditori italiani, quindi in qualche modo un’attività nascosta solo (forse) nei mezzi, ma certo non solo nei risultati.
Su queste vicende è stato già detto tanto, ma, al di là dello “scandalo” e delle pur legittime preoccupazioni di figure istituzionali, è utile capire quali altri rischi siano messi in evidenza da queste vicende, quali differenze ci siano fra i diversi casi e in che modo siano motivo di preoccupazione anche più ampia.
Quali sono le accuse
Partendo dalle situazioni più semplici, abbiamo, fra le attività attribuite ad esempio al gruppo legato a Calamucci, attività di phishing o l’installazione di varie forme di malware. Sono attività che fanno parte dell’armamentario di qualsiasi gruppo di cybercrime, non può stupire se anche questo gruppo utilizzasse questi strumenti che sono, in generale, semplici ed efficaci. Sono paragonabili, in un contesto “fisico”, alla capacità di base di superare serrature e sistemi di allarme per entrare in un appartamento privato o in un’azienda.
Diverso però è quando si parla, in particolare nel caso di Miano, di accesso abusivo a reti come quella del Ministero della Giustizia, o ad account di magistrati, ambiti il cui interesse per la criminalità è evidente. Preoccupa anche leggere che Miano sarebbe stato in possesso “delle password di 46 magistrati”, perché sembrerebbe suggerire che ci siano contesti ai quali, nell’ambito delle proprie attività lavorative (ma, dato il ruolo di queste persone, anche personali), gli accessi di quei magistrati siano protetti solo da password, e non dai meccanismi di autenticazione multifattore che ormai anche qualsiasi servizio di posta pubblico rende disponibile. Possiamo sperare in una semplificazione della stampa.
Anni di accessi senza far troppo rumore
È interessante anche considerare l’ampiezza temporale dell’accesso, durato alcuni anni. Questo mette in evidenza come, una volta che l’accesso sia stato ottenuto, sia difficile rilevarlo successivamente, se chi lo utilizza si muove senza fare troppo rumore.
Nel valutare i rischi degli accessi abusivi, siamo spesso troppo focalizzati sui ransomware, che con la loro rumorosità, la cifratura dei dati e le richieste di riscatto si fanno ben notare abbastanza presto, mentre è spesso molto più bassa la percezione del rischio legato al furto di informazioni, che può protrarsi appunto per anni senza rumore e senza danni visibili, e che è molto più complesso da rilevare e contrastare.
Se un dipendente abusa delle informazioni sui clienti
Consideriamo adesso il caso del dipendente di Intesa Sanpaolo e dei suoi accessi a informazioni sui clienti. Si tratta di uno dei problemi più complessi da gestire nell’ambito della sicurezza delle informazioni. Non si tratta in generale semplicemente di utenti interni che devono accedere ad un insieme limitato di informazioni; sono invece sempre più comuni i casi in cui l’organizzazione interna di un’azienda richiede da una parte che il personale possa accedere rapidamente a informazioni tratte da un insieme molto ampio, e dall’altra non consente processi autorizzativi puntuali e lenti.
Questo problema era emerso già ad esempio nel 2006 con lo scandalo degli “spioni fiscali”: personale dell’Agenzia delle Entrate che accedeva a dichiarazioni e fascicoli di personaggi famosi per rivenderli, tipicamente ai giornali.
Un funzionario che debba fare delle verifiche fiscali sulla dichiarazione dei redditi di un’azienda, avrà in generale la necessità di andare a verificare informazioni e corrispondenze sulle dichiarazioni delle società e persone con cui questa azienda ha lavorato, senza sapere a priori quali siano, e quindi senza poterle anticipare prima singolarmente.
La soluzione? Non è affatto semplice
Un processo autorizzativo per ogni verifica non è pensabile, e quindi necessariamente chi fa una verifica di questo tipo ha necessità di essere autorizzato ad accessi molto ampi, che naturalmente si prestano poi ad abusi. Nel 2006 alcuni abusi su personaggi in vista erano emersi chiaramente, e di qui lo scandalo.
Un problema analogo c’è con l’accesso da parte dei medici di un ospedale alle cartelle cliniche: l’operatività prevede che ognuno acceda nell’ordinario ai soli pazienti che ha in cura, ma non è possibile escludere che, per consulti, emergenze o altro, possa avere necessità di accedere a cartelle cliniche o fascicoli di altri pazienti, magari in emergenza e quindi senza la possibilità di un processo autorizzativo puntuale e complesso.
Ma c’è un caso molto più famoso e vicino ai temi che discutiamo, ovvero la diffusione nel 2010 di informazioni riservate degli Stati Uniti in uno dei casi più famosi legato a Wikileaks. In quell’occasione, l’allora Bradley Manning, arruolato nell’esercito statunitense e assegnato ad attività di intelligence in Iraq, raccolse ed inviò a Wikileaks grandi quantità di informazioni che, quando pubblicate, suscitarono molto scalpore.
Fra queste, ad esempio, alcune informazioni delicate su un attacco aereo a Bagdad1. Anche l’attività di intelligence richiede di avere accesso ad ampie basi di dati, con la difficoltà di sapere in anticipo quali accessi consentire al personale che svolge queste attività.
Compromesso tra operatività e controllo
Per questa categoria di problemi non c’è una soluzione semplice. La soluzione più comune è integrare negli applicativi software utilizzati per l’accesso ai dati un tracciamento delle attività, a cui segue una verifica a posteriori sugli accessi effettuati, in parte automatica e in parte manuale, per rilevare possibili anomalie.
Si tratta chiaramente di un compromesso fra operatività e controllo: il controllo a posteriori non è in grado di impedire completamente l’accesso ai dati da parte di un dipendente infedele; tuttavia, consente di limitare la quantità di dati sottratta, e nello stesso tempo è un deterrente rispetto ad azioni illegittime.
Si basa inoltre su alcuni presupposti non banali: poter riconoscere quale sia un accesso anomalo, l’esistenza di una figura con un ruolo di vigilanza che possa effettuare il controllo e, naturalmente, il fatto che questa figura il controllo lo eserciti veramente.
Se consideriamo ad esempio il caso della gestione delle cartelle cliniche, dove questi strumenti sono ormai abituali, il ruolo di vigilanza è assunto tipicamente dalla direzione sanitaria o medica, che ha visibilità di quale siano il ruolo e il reparto in cui operi un medico e cosa corrisponda quindi ad una anomalia negli accessi, ad esempio, a pazienti di un altro reparto.
Ad esempio, se può essere normale che un medico veda uno o due pazienti al di fuori dei propri per consulti o altro, l’accesso a cento pazienti in un giorno, o l’accesso alla cartella clinica di un politico, sportivo o imprenditore famoso appena ricoverato in un altro reparto, rappresentano certamente anomalie da approfondire.
In effetti, gli alert sulle figure “VIP” sono i più semplici da gestire in questo contesto. Se però consideriamo il medico che, per fare un favore ad un amico, vada a guardare la cartella clinica della figlia maggiorenne appena ricoverata, è molto più difficile che questo caso venga riconosciuto come anomalo, perché la direzione sanitaria non ha visibilità dei retroscena e quindi dei motivi dell’accesso, se non quelli dichiarati dal medico stesso.
I meccanismi di controllo
Per limitare ulteriormente questi rischi, nel caso del fascicolo sanitario elettronico, ad esempio, è previsto che l’interessato abbia visibilità di tutti gli accessi al suo fascicolo, consentendogli di verificare che siano legittimi.
Meccanismi simili esistono in diversi contesti, ed è possibile che il (presunto) dipendente infedele di Intesa Sanpaolo sia stato individuato a seguito di un’allarmistica di questo tipo. Tuttavia, in questo caso la segnalazione all’interessato non sarebbe praticabile, perché il cliente di una banca, salvo casi particolari, non può sapere quali funzionari interni possono dover accedere alle informazioni del suo conto nelle normali pratiche di gestione della banca.
La situazione si fa ancora più difficile se consideriamo il caso di Manning e Wikileaks: il suo superiore probabilmente poteva verificare su cosa stesse lavorando, ma abbiamo due difficoltà: la prima è che probabilmente Manning aveva necessità di accedere continuamente a molte informazioni (il suo lavoro era l’intelligence) e quindi il suo superiore avrebbe avuto parecchio da fare a controllare tutti gli accessi di Manning e dei suoi colleghi.
E poi, se pure Manning poteva essere controllato, chi avrebbe invece controllato il suo superiore? In quel tipo di attività, è difficile che in un contesto in cui la segregazione e la compartimentazione sono misure di sicurezza essenziali, ci possa essere una figura che ha visibilità di tutto quello su cui stanno lavorando tutti, e possa quindi effettuare controlli approfonditi.
Tuttavia, la quantità di informazioni, di tipo e fonti diverse, raccolte (scaricate) e poi inviate da Manning a Wikileaks è stata comunque talmente grande che probabilmente avrebbe potuto essere rilevata come anomala. Si vede quindi che dei meccanismi generali, per quanto imperfetti, esistono, ma la loro applicazione nei singoli contesti è diversa e mai banale.
Perché in Italia non è scattato l’allarme dossieraggi
Possiamo tornare a questo punto alle nostre questioni domestiche attuali, e chiederci come sia possibile che tante informazioni siano state raccolte senza che ci fosse alcun tipo di allarme.
Sicuramente il contesto in cui operano i servizi di informazione, i funzionari delle forze dell’ordine o i magistrati presentano alcune delle difficoltà descritte: avere qualcuno che abbia visibilità nel dettaglio delle attività di un magistrato e le possa verificare alla ricerca di anomalie (in questo caso, non dovute al magistrato stesso ma ad un suo account compromesso), ad esempio, sarebbe quantomeno complesso, anche (e forse soprattutto) se oggetto di analisi fossero i dati di figure di rilievo.
Va sottolineata anche la difficoltà nel gestire accessi che avvengono fra strutture diverse, perché la visibilità sulla legittimità delle attività è in generale compito delle strutture a cui fanno capo le persone, mentre la visibilità sugli accessi è in generale in carico a chi rende disponibili i dati.
Insomma, siamo di fronte ad una situazione complessa che è facile banalizzare a posteriori in termini di “si poteva fare meglio”, ma i casi specifici non possono non generare qualche preoccupazione sull’ampiezza e la durata degli accessi abusivi. Nello stesso tempo però, la quantità di informazioni che sarebbe stata estratta nel corso delle attività illecite oggetto delle attuali indagini, è talmente alta che è difficile pensare che non potesse essere rilevata da strumenti anche automatici.
Il nodo degli amministratori di sistema
C’è però anche un altro problema, se vogliamo ancora più spinoso di questi, e cioè la possibilità che personale addetto alla manutenzione e gestione di alcuni di questi sistemi abbia collaborato alla fuoriuscita di dati. Il personale che gestisce i sistemi può, per la natura stessa dell’attività che svolge, aggirare almeno i controlli che contribuisce a mantenere, e quindi rappresenta una grande criticità.
Sono i famosi “amministratori di sistema”, oggetto di legittima preoccupazione da parte del Garante per il trattamento dati personali e di provvedimenti particolarmente invisi alle aziende, ma di cui si capisce qui l’importanza. La verifica sull’attività degli amministratori di sistema, ma ancora di più la loro selezione e la verifica delle “caratteristiche soggettive”, ovvero, per citare il provvedimento, la “valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza”, sono uno dei temi di cui si discute in effetti oggi.
Si fa spesso riferimento, come in altri casi passati, al rilascio del NOS, Nulla Osta Sicurezza, che queste persone avrebbero avuto, ma un “nulla osta” non può che indicare, sulla base delle indagini effettuate al momento del rilascio, che non ci sono evidenze ostative all’accesso. Non è certo una verifica dell’etica delle persone (non dimentichiamo poi che molte delle persone coinvolte nelle vicende di questi giorni operavano nelle stesse strutture a cui poi hanno acceduto abusivamente), né può sostituire l’attività metodica e attenta di selezione e verifica dell’operato degli amministratori di sistema o, sempre per restare su temi attuali, delle aziende che li forniscono.
In contesti come quelli in discussione naturalmente, le verifiche non possono che essere molto più attente di quelle richieste genericamente dal Garante a qualsiasi azienda per la protezione di semplici “dati personali”.
Anche qui, inutile dire che è tutto semplice a parole e a posteriori, ma la complessità di questo tipo di verifiche è davvero molto alta. È anche utile sottolineare, nel caso ci fosse il dubbio, che sistemi sicuri sono anche sistemi più costosi, nonostante molto si possa fare in termini di organizzazione. Questo tipo di problemi esiste naturalmente per ogni sistema critico di aziende pubbliche amministrazioni, e rimane a prescindere dagli esiti delle attuali inchieste.
Forse è solo la punta dell’iceberg
A fronte di tutto questo, è necessario anche chiedersi se a fronte di alcuni casi intercettati sembrerebbe quasi per caso, non ci possano essere tanti altri casi non ancora emersi, e che forse non emergeranno mai, di accessi abusivi a questi stessi sistemi, accessi magari meno estesi ma non per questo meno preoccupanti.
Se Miano si interessava delle proprie vicende giudiziarie ed ha fatto tutto da solo (posto che sia tutto vero), perché un’organizzazione criminale, magari con ampia disponibilità di mezzi, non avrebbe dovuto provare a tenere d’occhio le proprie, di vicende giudiziarie? Il rischio non è certo solo quello del dossieraggio di figure esposte.
Rimane infine un’ultima questione inquietante legata in particolare al gruppo di Calamucci. Il furto e la messa in vendita di informazioni prevedono sempre anche degli acquirenti, senza i quali il furto non ha molto senso. Non a caso esiste il reato di “incauto acquisto”.
È abbastanza evidente che le informazioni raccolte erano “sul mercato”, pronte ad essere acquistate da chi si facesse poche domande sulla loro provenienza, e naturalmente non si tratta solo dei servizi informativi di altri paesi. Dove certe informazioni non siano pubbliche, non ci sono molte possibilità: o sono state chieste, o sono state sottratte. Sarebbe tempo di trarne le dovute conclusioni.
1 https://en.wikipedia.org/wiki/July_12,_2007,_Baghdad_airstrike